Más herramientas, más problemas: por qué su conjunto de medidas de seguridad podría estar jugando en su contra.
Según el reporte de Verizon sobre investigaciones de filtraciones de datos de 2025, la explotación de vulnerabilidades aumentó un 34% en 2025.La inversión en valores alcanzó un máximo histórico.
Hablamos mucho sobre el problema del gasto en la industria de la ciberseguridad. Las cotizaciones de seguridad siguen aumentando, el número de herramientas sigue creciendo y la plantilla de personal sigue aumentando, pero las brechas de seguridad siguen ocurriendo.
Como comenté en una reciente transmisión en tiempo real de LinkedIn con Tanya Janca, CEO de SheHacksPurple y una de las voces más respetadas en el mundo de la seguridad de aplicaciones, el problema radica en las estructuras de incentivos que creamos en torno a la inversión en seguridad. Hasta que no seamos honestos sobre lo que impulsa esas estructuras, ninguna cotización, por mucho que se aumente, logrará un cambio significativo en lo que realmente importa.
La cruda realidad es que la industria de la ciberseguridad confundió actividad con eficacia y complejidad con capacidad. Lo más importante es si tu conjunto de medidas de seguridad realmente te hace sentir más seguro o simplemente te hace sentir que lo estás.
Por qué una mayor inversión no se traduce en una mayor seguridad
Las cifras cuentan una historia que la industria preferiría no reconocer. Las cotizaciones de seguridad están alcanzando niveles récord. Las pilas de herramientas nunca fueron tan largas. Y, sin embargo, la compañía promedio se encuentra ahogada en una acumulación de vulnerabilidades tan grande que se volvió prácticamente inútil.
Tanya mencionó que vio clientes con 40.000 vulnerabilidades críticas acumuladas en una sola lista de tareas pendientes, sin un plan realista para solucionarlas. Esto es un espectáculo de seguridad a gran escala.
Lamentablemente, para muchos equipos de seguridad, comprar una nueva herramienta se convirtió simplemente en la respuesta por defecto a cualquier pregunta sobre seguridad. Y cada nueva herramienta viene con sus propias alertas, panel de control e integraciones que no funcionan del todo bien con el resto de las herramientas que ya tienes.
El resultado es un caos extenso, superpuesto y contradictorio que consume enormes recursos a la vez que deja lagunas peligrosas.
Lo que hace que esto sea particularmente insidioso es que la actividad parece productiva. Cuando los paneles de control están llenos de datos y se cierran los tiquetes, es fácil creer que uno está a salvo.
Pero, como observó Tanya, estamos confundiendo estar ocupados con ser eficaces. Los trabajadores del conocimiento, incluidos los profesionales de la seguridad, a menudo demuestran su esfuerzo a través de actividades visibles, medibles y de alta frecuencia, en lugar del trabajo profundo y estratégico que realmente genera resultados.
Para los atacantes, la complejidad es una característica, no un error.
Los atacantes se basan en la complejidad de tus entornos. Tienen bajo riesgo, alta recompensa y una paciencia casi infinita. Solo necesitan encontrar el único punto débil donde todas sus herramientas superpuestas no se comuniquen entre sí.
“Antes, cuando la gente robaba un banco, entraba con una pistola”, dijo Tanya. “Ahora lo hacen virtualmente y pueden intentar robar 100 bancos sin ser atrapados.”
Esa asimetría es el desafío fundamental de la ciberseguridad moderna.
Y como señaló Tanya, son extraordinariamente buenos para encontrar esas brechas. “Mientras nosotros mejoramos en el perímetro, ellos atacan la aplicación.” A medida que creamos zonas, atacan la cadena de suministro. Se dirigen al objetivo más fácil, sea cual sea.
Cada nueva herramienta que agregas crea nuevas brechas potenciales. Tu atacante se enfrenta a tu eslabón más débil. Y cuanto más complejo sea tu entorno, más difícil será encontrar esa conexión antes que ellos.
Por qué el problema de la codificación de vibraciones está a punto de empeorar mucho.
Si la proliferación de herramientas es el fuego que arde lentamente, el código generado por IA es el acelerador.
El auge de la "codificación por impulsos" —el uso de herramientas de IA para generar código rápidamente con una mínima consideración de la seguridad— está cambiando fundamentalmente el panorama de amenazas de maneras para las que la mayoría de los equipos de seguridad no están preparados. El volumen, la velocidad y el alcance del código inseguro que se está implementando en producción en este preciso momento es asombroso.
“La IA fue capacitada con código de baja calidad”, dijo Tanya. “No es que las compañías de IA tuvieran la intención de hacerlo; simplemente era lo que estaba disponible.” El código disponible en Internet es de menor calidad que el código cerrado privado. La mayoría de los proyectos de código abierto no tienen un equipo de seguridad.
Estamos empleando modelos capacitados con código de baja seguridad para generar más código a una velocidad sin precedentes. Esto suele ocurrir por parte de personas que nunca se plantearon seriamente la importancia de las prácticas de desarrollo seguras.
Tanya compartió un ejemplo particularmente alarmante de una sesión reciente con un cliente. Sesenta participantes ejecutaron la misma instrucción de generación de código de IA, con las mismas restricciones de seguridad aplicadas. Una de las salidas agregaba comentarios que indicaban al linter de Python que ignorara cierto código y, a continuación, filtraba información confidencial de forma intencionada.
Un riesgo de ese tipo ya está presente en su entorno. ¿Está diseñado su programa de seguridad para detectarlo?
Un giro a la izquierda en la cultura de seguridad
Entonces, ¿qué significa realmente una buena seguridad en el panorama de amenazas actual? La solución radica en replantear fundamentalmente dónde y cómo se integra la seguridad en el proceso de desarrollo, y no en adquirir más herramientas.
Tanya lleva años defendiendo esta postura. “Es más fácil contratar a una compañía para que implemente una herramienta, agregar un serial de controles al proceso y decir: 'Ahora es problema de los desarrolladores'”. Ese no es el mejor programa de seguridad que se puede crear.
Para los responsables de seguridad, esto significa que dos o tres profesionales de seguridad de aplicaciones bien integrados en los equipos de desarrollo pueden aportar más valor en materia de seguridad que un contrato de herramientas de seis cifras que nadie emplea correctamente.
El cálculo del retorno de la inversión cambia cuando se empiezan a medir los resultados de seguridad en lugar de la actividad de seguridad.
Tanya también hizo hincapié en el poder de las opciones predeterminadas. Describió un cambio de configuración sencillo, como por ejemplo, configurar un gestor de paquetes de Node.js (NPM) para que no ejecute scripts posteriores a la instalación de forma predeterminada. Ese simple cambio puede eliminar toda una categoría de ataques a la cadena de suministro.
“Los equipos de seguridad de aplicaciones deben centrar en dónde se puede eliminar toda una clase de errores o dónde se puede establecer una configuración predeterminada que los proteja contra un amplio abanico de problemas”, afirmó.
El cambio de mentalidad está pasando de "¿qué herramienta compro para solucionar esto?" a "¿qué cambio sistémico elimina esta categoría de riesgo?". A veces eso incluye nuevas herramientas, pero no necesariamente tiene que ser así.
Cómo crear un equipo de seguridad preparado para la era de la IA.
Si tuvieras que crear tu equipo de seguridad desde cero hoy, ¿cómo sería?
Tanya dijo que querría tres perfiles distintos:
- Alguien con gran curiosidad por la IA y que se sienta cómodo trabajando con ella.
- Alguien con estables habilidades sociales que pueda hablar tanto en lenguaje técnico como en lenguaje empresarial y construir el consenso interfuncional que requiere la transformación de la seguridad.
- Un profesional con profundos conocimientos técnicos que puede encontrar fallos, revisar código y hallar vulnerabilidades antes de que lo hagan los atacantes.
Para Tanya, ese equilibrio es más importante que el número de empleados. Un equipo de cuatro personas integrado en los flujos de trabajo de desarrollo, centrado en la eliminación de categorías de riesgo, superará sistemáticamente a un equipo de diez personas que se dedican a ejecutar listas de verificación de cumplimiento.
Desde mi perspectiva en Illumio, agregaría una perspectiva más: la resiliencia.
Antes de pensar en formar un equipo o seleccionar herramientas, comience con preguntas estratégicas:
- ¿Qué debe aportar la seguridad a la resiliencia de su compañía?
- ¿Cómo se llevaría a cabo la contención en caso de que se produzca una brecha de seguridad?
- ¿Cómo limita su arquitectura de seguridad el movimiento lateral y reduce el alcance de un ataque?
Las herramientas y los equipos deben surgir de esa respuesta, y no al revés.
Los equipos de seguridad no pueden permitir el lujo de esperar.
El problema de la seguridad se agrava a un ritmo mayor del que pueden responder los modelos de inversión tradicionales.
Emitir un cheque más grande a los mismos proveedores por las mismas herramientas no solucionará ese problema.
¿Qué sucederá?
- Una auditoría honesta de dónde su cotización está generando realmente resultados.
- Una disposición a eliminar herramientas que generan ruido sin cobertura.
- Un compromiso para integrar la seguridad incluso antes de que exista el código que necesita protección.
- Un pilar estratégico en la resiliencia cibernética
Durante demasiado tiempo, el sector se contó a sí mismo una historia reconfortante: más gasto equivale a más seguridad, más herramientas equivalen a mayor cobertura y más alertas equivalen a mayor conocimiento.
Ninguna de esas ecuaciones se sostiene en la ciberseguridad moderna. Lo que importa ahora es si lo descubres de forma proactiva o si los atacantes lo descubren por ti.
Nuestra próxima transmisión en tiempo real de Hard Truths en LinkedIn reunirá a dos personas que crearon Zero Trust. Regístrate hoy Unir a John Kindervag y Chase Cunningham en su debate titulado " Deje de tratar los síntomas: ¿Por qué la ciberseguridad sigue recayendo?".
.webp)
.webp)
.webp)
.webp)
